Данные об абонентах и управление ими
PowerDMARC ограничивает доступ своего персонала к данным абонентов следующим образом:
- Требуется уникальная авторизация доступа пользователей с помощью надежных логинов и паролей, включая многофакторную аутентификацию для доступа администраторов облачного хостинга;
- Ограничивает данные абонентов, доступные персоналу PowerDMARC по принципу "необходимо знать";
- Ограничивает доступ персонала PowerDMARC к производственной среде PowerDMARC на основе деловой необходимости;
- Шифрует учетные данные безопасности пользователя для доступа к производству; и
- Запрещает персоналу PowerDMARC хранить данные абонентов на электронных портативных устройствах хранения, таких как компьютерные ноутбуки, портативные диски и другие подобные устройства.
- PowerDMARC логически разделяет данные каждого из своих абонентов и поддерживает меры, направленные на предотвращение раскрытия данных абонентов или доступа к ним других клиентов.
Шифрование данных
PowerDMARC обеспечивает стандартное для отрасли шифрование абонентских данных следующим образом:
- Реализует шифрование при транспортировке и в состоянии покоя;
- Использует надежные методы шифрования для защиты данных абонентов, включая 256-битное шифрование AES для данных абонентов, хранящихся в производственной среде PowerDMARC; и
- Шифрует все данные абонентов, находящиеся в облачном хранилище в состоянии покоя.
Сетевая безопасность, физическая безопасность и экологический контроль
- PowerDMARC использует брандмауэры, средства контроля доступа к сети и другие методы, предназначенные для предотвращения несанкционированного доступа к системам, обрабатывающим данные абонентов.
- PowerDMARC поддерживает меры, направленные на оценку, тестирование и применение исправлений безопасности ко всем соответствующим системам и приложениям, используемым для предоставления Услуг.
- PowerDMARC контролирует привилегированный доступ к приложениям, обрабатывающим данные абонентов, включая облачные сервисы.
- Сервисы работают на Amazon Web Services ("AWS") и Heroku и защищены средствами безопасности и экологического контроля Amazon. Подробная информация о безопасности AWS доступна на сайтах https://aws.amazon.com/security/ и http://aws.amazon.com/security/sharing-the-security-responsibility/. Отчеты AWS SOC Reports см. на сайте https://aws.amazon.com/compliance/soc-faqs/.
- Данные абонентов, хранящиеся в AWS, всегда зашифрованы. AWS и не имеют доступа к незашифрованным данным абонентов.
Реагирование на инциденты
Если PowerDMARC станет известно о несанкционированном доступе или раскрытии данных абонентов, находящихся под его контролем ("Нарушение"), PowerDMARC сделает следующее:
- Принять разумные меры для смягчения вредных последствий нарушения и предотвращения дальнейшего несанкционированного доступа или раскрытия информации.
- После подтверждения факта нарушения, уведомить клиента в письменном виде о нарушении без неоправданной задержки. Несмотря на вышесказанное, PowerDMARC не обязана делать такое уведомление, если это запрещено действующим законодательством, и PowerDMARC может отложить такое уведомление по требованию правоохранительных органов и/или в свете законных потребностей PowerDMARC в расследовании или устранении последствий до предоставления уведомления.
Каждое уведомление о нарушении должно содержать:
- Степень, в которой данные абонентов были или, как обоснованно считается, были использованы, получены, приобретены или раскрыты во время Нарушения;
- Описание произошедшего, включая дату нарушения и дату обнаружения нарушения, если она известна;
- объем нарушения, насколько это известно; и
- Описание реакции PowerDMARC на нарушение, включая шаги, предпринятые PowerDMARC для уменьшения ущерба, причиненного нарушением.
- PowerDMARC поддерживает соответствующий план обеспечения непрерывности бизнеса и аварийного восстановления.
- PowerDMARC поддерживает процессы для обеспечения отказоустойчивого резервирования своих систем, сетей и хранилищ данных.
Управление персоналом
- PowerDMARC проводит проверку при приеме на работу, включая подтверждение личности и проверку уголовного прошлого для всех новых сотрудников в соответствии с действующим законодательством.
- PowerDMARC проводит обучение своего персонала, участвующего в обработке данных абонентов, чтобы гарантировать, что они не собирают, не обрабатывают и не используют данные абонентов без разрешения и что они сохраняют конфиденциальность данных абонентов, в том числе после прекращения любой роли, связанной с данными абонентов.
- PowerDMARC проводит плановый и выборочный мониторинг системной активности сотрудников.
- При увольнении сотрудника, добровольном или вынужденном, PowerDMARC немедленно отключает весь доступ к системам PowerDMARC.
- PowerDMARC проводит ежегодное обучение по информационной безопасности и постоянный инструктаж своих сотрудников.
Последнее обновление: 10 мая 2020 г.
